cuentas

En la LOPD antigua, los datos de carácter biométrico (iris, huellas dactilares, o estructura facial), recibían una especial atención y protección, estando referenciados dichos datos personales en diversos artículos de la Ley Orgánica y del Reglamento de 2007. Los auditores de LOPD sudábamos tinta para justificar que una puerta de abriera mediante lectura dactilar e incluso muchos sindicatos pelearon, absurdamente, hasta llegar al Supremo para evitar «fichar con el dedo».

Igual pasaba con los datos usualmente utilizados en el deporte, en servicios sociales e incluso en los psicotécnicos. Eran datos de Salud, y nivel alto. Iban siempre acompañados en su protección, de los datos de opinión y compromiso político y social.

LOS DATOS BIOMETRICOS, DE OPINIÓN Y DE SALUD

Pues bien, podemos decir, sin ambages, sencillamente, que nuestra nueva LOPD se ha olvidado del tema. Los datos biométricos aparecen reseñados una sola vez (1) en la Disposicion Adicional Undécima, referida a las modificaciones que deben realizarse a la Ley de Transparencia, pero nada más.

En esa “neolengua” que tan mal nos ha hecho y que ha llegado también a esta especialidad jurídica, a partir de ahora les llamaremos “categorias especiales de datos” y quedan recogidos en el art. 9 del RGPD, y en el mismo artículo de la nueva LOPD.

El Reglamento Europeo nos dice textualmente :

Art. 9.- Tratamiento de categorías de Datos Personales

Quedan prohibidos el tratamiento -no la recogida- de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

  1. El apartado 1 no será de aplicación, -es decir, que se podrán tratar y recoger- cuando concurra una de las circunstancias siguientes:
  2. a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;-a partir de aquí, el RGPD es absolutamente laxo, dejando a los estados el nivel y medidas de protección-

Y empieza la lista de cuando pueden ser tratados SIN CONSENTIMIENTO:

  1. b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado; -el clásico derecho del empleador al control de los trabajadores (huella dactilar); pero es más, también por convenio colectivo puede el empresario tratar datos de “categorias especiales” de sus trabajadores-;
  2. c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
  3. d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados -me abstengo de valorar por la animalada que supone el privilegio de NO pedir consentimiento y poder mantener esos datos de por vida por parte de esas instituciones-;
  4. e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos –adiós derecho al olvido, de esos datos precisamente-;

Y continua detallando a partir de ese punto situaciones más específicas, hasta el apartado “j” y un punto “3.”.

Pero, oliéndose la tostada, el legislador europeo añade un cuarto y último punto, endosando el muerto a los Estados.

  1. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Aquí es donde el legislador español habría de haber acreditado su valía, protegiendo, en lo que valen, nuestros datos más sensibles, en el desarrollo del RGPD.

Y nos dice:

Artículo 9. Categorías especiales de datos.

  1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar

situaciones discriminatorias -no otras, por tanto si no causan discriminación, nada- el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Y a partir de aquí se apunta, sin más, a los tratamientos SIN CONSENTIMIENTO.

…Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE)  2016/679, cuando así proceda.

  1. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma -recoger sin consentimiento- podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

Sobre datos de salud, encontramos una breve referencia más en el Art. 20 de la nueva LOPD cuando habla de las medidas de seguridad que debería valorar en responsable del Tratamiento.

Y aquí acaba la toda la regulación de las “categorías especiales” de datos de carácter personal.

De lo anterior podemos deducir que

a) Si la finalidad principal del tratamiento no es identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, o no provocan discriminación, los datos se pueden recoger y tratar, como un dato más. Rige el Consentimiento explícito básico.

b) El Art. 9 de ambas normas abre la puerta a la recogida de datos de salud, opinión y biométrocos SIN CONSENTIMIENTO.

c) Pueden ser utilizados, además, sin recato ni consentimiento, si esos datos, por algún motivo se han hecho públicos.

d) Pueden ser tratados legítimamente y SIN CONSENTIMIENTO, no sólo por partidos políticos, sino también por una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos; pero no sólo de los miembros actuales y pasados, sino de los que “tengan relación” con la misma, concepto jurídico indeterminado. si los hay

e) No discrimina positivamente ni a los menores, ni a aquellas personas incapacitadas en su voluntad o capacidad. Las compañías de seguros podrán hacer su agosto… tendrán datos que el asegurado ni tan siquiera puede imaginar que puedan tener.

Preveo en un futuro no lejano, que todas las SECTAS del mundo mundial, recalarán en nuestro país.

En fin… continuamos la juerga.

Dejar respuesta

Please enter your comment!
Please enter your name here

dieciocho − 9 =